企业安全应急响应中心建设理论与实践博客

知易行难，我以为以上诸位并没有建设SRC的实际经验，有纸上谈兵之嫌，所以终于到我上场了（事物是在变化的，现在iceyes在ASRC工作）。

【背景】

大型企业的业务模式多，涉及的产品也多，特别是互联网业务讲究“小步快跑敏捷迭代”，往往忽视了安全检查或者来不及进行细致的安全检查，同时安全系统本身是程序也会存在各种遗漏，因为互联网业务的在线特性，使得互联网的人都能够接触到，相对于传统业务被攻击面扩大，所以更容易被善意的、恶意的或者无意的人发现漏洞——如果漏洞被利用或者在黑市交易，对企业和用户是极大危害的。

既然漏洞被外部发现不可避免，那么该如何吸引外部安全力量规范地参与进来呢？

具体的做法大致会分为微软模式和谷歌模式。

以微软为代表的IT企业主要采用的公告致谢方式。只要漏洞发现者将漏洞先报告给微软，微软就会在每个月的补丁发布日发布安全公告致谢漏洞报告者。由于微软是世界级的企业，能够发现它的漏洞并得到致谢，这个荣誉使得全世界的漏洞报告者乐此不彼。当然，时代在进步，现在微软也有了漏洞奖励计划。

以谷歌为代表的互联网公司采用了现金奖励方式。只要漏洞发现者将漏洞报告给官方而不直接公开，将会得到一笔价值不菲的现金奖励。这种模式又有公告又有钱，大大地调动了报告者的积极性。

腾讯安全团队为这两种模式的企业都提交过漏洞，从人性的角度体验，当然是后者的效果更好。

那么，腾讯的漏洞收集准备采用哪种模式呢？当然是符合中国国情的腾讯特色的SRC啦。

【一个划时代的建议】

虽然回馈与漏洞报告者的贡献完全不对等，但是当时整个行业都是这样的，而且黑客们总有一种侠义精神，发现漏洞通知厂商似乎本身就是一种侠义之举，厂商的简单感谢似乎也是合情合理的。

【磕磕碰碰中成长】

接下来行政上就是一系列的特殊审批。

下面两个图就是TSRC的漏洞报告处理流程。其中的复查程序是后面优化迭代增加的功能。

比较核心的在于TSRC漏洞报告系统打通了内部的漏洞工单系统，一经确认的漏洞就会自动同步到工单系统驱动业务修复，修复后会自动同步状态到TSRC漏洞报到系统反馈给报告者复查。

说实话当时心里没底，毕竟TSRC是业内第一家企业自建漏洞收集平台，万一平台建好了没人来报漏洞怎么办？万一同时来了无数个漏洞怎么办？万一被竞争对手坑了怎么办？万一……

一系列小步快跑敏捷开发之后，腾讯漏洞报告平台于5月20日邀请了一些白帽子内测，5月31日正式上线。

比较欣慰的是，项目一上线就取得了不错的效果，大部分白帽子们对这个企业自建漏洞报告平台的模式也比较认同。2012年6月就有38位白帽子报告了上百个漏洞，其中不乏严重漏洞。这里还是非常感谢当时支持我们的朋友，如果没有大家的支持，TSRC肯定很难走到今天。感谢！

跟所有的产品一样，建设完成只是一个开始，关键要靠运营。TSRC建设运营的十六字箴言是：小步快跑，大胆试错，沟通为王，以德服人。

然后又发现有些漏洞推送到业务修复后，没有修复彻底，又会被外部发现。改！于是增加了“报告者确认修复”的流程。

……

就是在这种不断迭代的运营过程中，TSRC形成了现在的框架。

下图是统计的这几年腾讯和几个大型友商在乌云漏洞报告平台上的漏洞数量，可以看到，2012年腾讯位居“漏洞之王”，2013年已摆脱这个“桂冠”。

我们可以看到，TSRC的漏洞奖励计划启动后，报告的漏洞数量突飞猛进（一度让我们震惊。SRC收集的漏洞越多，越说明企业的安全体系需要优化），2013年数量达到顶峰，但2014年终于将漏洞数量收敛——这几年团队是做了很多努力的，终于看到效果了。

2013年1月，网易也推出了漏洞报告平台。接着京东、百度、阿里等都相继推出，SRC模式基本被大型互联网企业接受并且如火如荼地开展。这一年可以称为“SRC元年”。

现在我们可以看到，随着安全行业的发展，像深信服、国家电网、中兴（中兴特别提到参考了TSRC，让我们小小骄傲一下吧）、联想这样的传统企业都开展了“漏洞奖励计划”（见附录），相信未来还有更多的企业SRC出现。

【思考：沟通为王，以人为本】

漏洞的奖励模式与过去的侠义模式最大的区别就是现在漏洞报告者是利益驱动的（这也没有错，王阳明心学早就说过“天理即人欲”），漏洞评分会直接影响收益，所以漏洞评分要特别谨慎，不然会引起争议。

早期我分析过TSRC惹出争议的所有问题，发现80%以上都是跟报告者的沟通问题。换句话也就是说只要沟通得当，这些争议是不会出现的。

所以，我认为沟通是SRC运营过程的重中之重——与人的矛盾解决了，其他都好说了。

漏洞报告平台的核心是上面的漏洞报告者，没有人给你报漏洞，你的平台有什么意义呢？所以平台粘性很重要。

怎么提升平台粘性？奖励额度是一方面，另外你要让报告者乐于到你的平台来。其实就可以看作一个垂直细分领域的社区类产品，这个产品运营模式可以多摸索。

早期我们推出了虚拟的企鹅勋章用以奖励做出突出贡献的漏洞报告者，当时还夸下还说说要实体化，现在我们真的制作了实体的企鹅勋章。下图是设计稿之一。

【思考：不仅仅是漏洞收集平台】

若干企业的SRC建立后，我见到一些企业的SRC只是收集外部漏洞（更有甚者只是一个摆设），我认为这是不够的（知道我的标题为什么叫应急响应中心建设了吧）。

SRC本身就是企业的一个窗口，传递企业对安全的态度，在这个框架之下，SRC要承担更多的工作。

接下来就是要分析和改进。TSRC的每个漏洞都会复盘，找出和修复相应的团队和系统的疏漏。漏洞报告者帮助腾讯发现漏洞的同时也在优化着腾讯的安全系统。

下图就是针对Web漏洞复盘后发现的腾讯漏洞扫描器系统的问题及优化方案以及历年来从TSRC漏洞中收获到的优化点数量（这个数据趋势和外部漏洞数据趋势基本吻合）。

现在安全行业开始受到重视，高级安全人才急缺，SRC是绝佳的人才招聘渠道。我们团队的部分实习生、应届毕业生和社招人员都曾是TSRC上优异的漏洞报告者，TSRC的现任负责人flyh4t也曾是TSRC的漏洞报告者。

【思考：排行制vs兑换制】

过了几个月，排行制的弊端就显现了：报告者无法得到喜欢的东西。这等于严重打击了漏洞报告者的积极性。那不行，得改！

这就等于是让市场来决定漏洞价值。如果漏洞越少越难发现，单个漏洞的奖励越贵。在内部的一次讨论会上，我们笑称等以后一个腾讯的反射型XSS漏洞都奖励500美金了，就说明腾讯安全做得不错了。也有很多朋友吐槽腾讯奖励不如谷歌、Facebook，我的答案还是市场来决定漏洞价值，现阶段还没有到一个腾讯漏洞500美金的时候。

之前我们担心直接奖励现金对行业有负面影响，不过看到其他平台也用现金，业界比较接受，后来TSRC也有了直接的现金奖励，今年还增加了金币直接兑换现金功能。

【思考：江湖险恶，小心炒作】

自从PR介入安全行业以来，普通安全问题可能会被竞争对手炒作，SRC作为直接处理安全问题的官方团队，一定要小心谨慎。

有朋友吐槽过腾讯对于安全问题的官方答复一律是“非常感谢您的报告。这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步”。这个答复是我们内部讨论改进过多个版本的安全问题官方标准答复口径，不过这不是因为敷衍，而是为了避免被炒作。

早些时候，我们的工作人员在乌云漏洞报告平台答复安全漏洞的时候，由于话术过于随意，发生了被竞争对手炒作的情况。

类似的血泪教训还有几个，总之企业SRC对外的话术口径一定要谨慎，要注意避免被竞争对手利用。

【思考：云SRC】

我们可以把SRC看成一种安全能力或者产品，由一个SRC服务商来为没有资源建设SRC的企业整合资源提供SRC系统，这就是云SRC了。就跟我们普通用户自己没有资源搭建个人博客而使用新浪博客一样。

云SRC是为企业提供免费的漏洞收集服务与平台，盈利点是为平台上的企业提供安全增值服务的方式（比如漏洞修复方案咨询、安全加固甚至是安全情报，具体的增值服务方式还可以再摸索）。

随着信息安全得到重视，未来各种企业特别是试图进军互联网业务的传统企业肯定是需要有自己的SRC的，但是大部分企业又未必有资源自己来做，所以我认为云SRC这种服务是值得尝试的。

【思考：xSRC联盟】

xSRC是指所有的SRC，这里的“x”是通配符，代表一个或多个字符，相当于正则里面的“*”。记得前几个SRC出来的时候，就有人戏言xSRC太多，26个字母不够用了，得扩大x的位数。

所谓xSRC联盟就是企业的SRC有共同的需求而联合起来交换资源合作共赢的联盟。

当然了，涉及到各家公司的安全团队协同了，所以以上大部分想法实施起来稍微有点困难。